spoolsvv.exe

Printable View

10.06.2007, 01:52
Nina

spoolsvv.exe

Сегодня у меня стал сильно тормозить и-нет (у меня скорость 256К), 1 страница грузится минуты 2; а после включения комп стал выдавать ошибку spoolsvv.exe. (spoolsvv.exe has encountered a problem and needs to close. We are sorry for the inconvenience. If you were in the middle of something, the information you were working on might be lost // AppName: spoolsvv.exe AppVer: 0.0.0.0 ModName: spoolsvv.exe ModVer: 0.0.0.0 Offset: 00006c1e). Скажите, пожалуйста, насколько это ужасно, как с этим бороться, и сколько еще продержится моя система (потому как переставлять ее сейчас нет никакой возможности)?

ЗЫ: извините, если повторяюсь: с такой скоростью нет никаких сил искать ответ на форуме самой.

На моем компе и-нет уже не пашет(( И еще я подхватила ntndis.exe (кажется так). Я его в регистре из файла Shell удалила, еще откуда-то его удалять надо?
10.06.2007, 16:10
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('Fus65');
BC_QrFile('C:\WINDOWS\system32\drivers\ndis.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\System32\Fus65.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Fus65');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\System32\Fus65.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('\SystemRoot\System32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\ksys.sys','');
QuarantineFile('C:\WINDOWS\System32\etzzpgg.dll','');
QuarantineFile('c:\cd1041.nls','');
QuarantineFile('c:\windows\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\System32\acctresp.exe','');
QuarantineFile('C:\WINDOWS\System32\adsnwj.exe','');
DeleteFile('c:\windows\system32\spoolsvv.exe');
DeleteFile('c:\cd1041.nls');
DeleteFile('C:\WINDOWS\System32\etzzpgg.dll');
DeleteFile('C:\WINDOWS\System32\rpcc.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\System32\acctresp.exe');
DeleteFile('C:\WINDOWS\System32\adsnwj.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.[/CODE][URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: Workstation lanmanworkstationlanmanworkstation (lanmanworkstationlanmanworkstation) - Unknown owner - C:\WINDOWS\System32\acctresp.exe (file missing)
O23 - Service: Remote Access Connection Manager RasManTermService (RasManTermService) - Unknown owner - C:\WINDOWS\System32\adsnwj.exe (file missing)[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL].
10.06.2007, 18:14
Nina

Все вроде работает, спасибо)

На всякий случай высылаю новые логи. Карантин занимает 600Кб, поэтому не прикрепляется.
10.06.2007, 18:16
Bratez

[QUOTE]Карантин занимает 600Кб, поэтому не прикрепляется.[/QUOTE]
Его надо выслать через [URL="http://virusinfo.info/upload_virus.php?tid=10285"]эту форму[/URL].
10.06.2007, 18:28
Макcим

[B][COLOR="Red"]Отключите восстановление системы![/COLOR][/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('c:\cd1041.nls');
BC_DeleteFile('C:\WINDOWS\System32\acctresp.exe');
BC_DeleteFile('C:\WINDOWS\System32\adsnwj.exe');
BC_DeleteFile('C:\WINDOWS\System32\ohkdc.dll');
BC_DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(14);
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\ohkdc.dll' missing
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O23 - Service: Workstation lanmanworkstationlanmanworkstation (lanmanworkstationlanmanworkstation) - Unknown owner - C:\WINDOWS\System32\acctresp.exe (file missing)
O23 - Service: Remote Access Connection Manager RasManTermService (RasManTermService) - Unknown owner - C:\WINDOWS\System32\adsnwj.exe (file missing)[/CODE]Повторите логи.

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL].

[B]Нужно установить как минимум антивирус и файрвол, иначе лечиться бесполезно![/B]
10.06.2007, 18:30
Bratez

Почти все удалили, кое-что правда осталось. Например, Spam-Tool ndis.sys.

1. Скачайте программу для восстановления ndis.sys:
[attach]10580[/attach]

2. Перезагрузите компьютер в [URL="http://virusinfo.info/showthread.php?t=9279"]безопасный режим[/URL].

3. Запустите программу для восстановления ndis.sys и нажмите в ней кнопку Patch.

4. Запустите AVZ и выполните скрипт:
[code]
begin
DelSPIByFilename('ohkdc.dll',true);
AutoFixSPI;
DeleteFile('c:\cd1041.nls');
BC_DeleteFile('c:\cd1041.nls');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

5. Если нарушится связь с интернетом, используйте ранее скачанную утилиту WinsockFix.

6. Сделайте новые логи.
10.06.2007, 18:37
Nina

MaXim, посоветуйте антивирус. Все мои беды начались [B]после[/B] установки Аваста.
10.06.2007, 18:44
Макcим

[QUOTE]MaXim, посоветуйте антивирус. Все мои беды начались после установки Аваста.[/QUOTE]Хорошо, что Вы это поняли. Из бесплатного Avira, если платный, то Касперский.

Выполняйте мои скрипты и фиксы в HJT, потом восстановите ndis.sys как рассказал [B]Bratez[/B] (с 1 по 3 пункты). Скрипт [B]Bratez[/B] не выполняйте!
10.06.2007, 18:59
Nina

Про HJT можете описать поподробнее?
10.06.2007, 19:15
Макcим

HJT - HijackThis
10.06.2007, 19:22
Nina

[quote=MaXim;115109]HJT - HijackThis[/quote]
это я уже поняла)) Как выполнить то, что вы мне написали? Я пошла по ссылке, но там не разобралась. Пожалуйста, опишите подробнее, что где нажать, чтобы "Пофиксить" в HijackThis.
10.06.2007, 19:39
Макcим

[QUOTE]Я пошла по ссылке, но там не разобралась.[/QUOTE][QUOTE]В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.[/QUOTE]Значит Вы в прошлый раз не фиксили?
10.06.2007, 20:09
Nina

Ну вот, сразу ругаетесь, вместо того, чтобы помочь бедной растерянной девушке :angel:

Я уже все сделала.

Комп стал долго висеть при загрузке на странице "Loading your personal settings".
10.06.2007, 21:17
Muzzle

Желательно обновить операционную систему, до [B]Windows Xp SP2[/B](потребуется активация)
Также желательно обновить Internet Explorer,либо воспользоваться другим браузером,например Firefox,Opera.
Выполните в AVZ скрипт
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(14);
RebootWindows(false);
end.[/CODE]
[COLOR="Blue"]Возможно нарушится связь с интернетом,в этом случаи воспользуйтесь ранее скаченной утилитой WinsockFix.[/COLOR]

Сделайте новые логи.
10.06.2007, 21:33
Nina

ВотЪ
10.06.2007, 21:40
Muzzle

и пофиксите в HijackThis
как пофиксить можно узать тут [url]http://www.virusinfo.info/showthread.php?t=4491[/url]

[CODE]
O23 - Service: Workstation lanmanworkstationlanmanworkstation (lanmanworkstationlanmanworkstation) - Unknown owner - C:\WINDOWS\System32\acctresp.exe (file missing)
O23 - Service: Remote Access Connection Manager RasManTermService (RasManTermService) - Unknown owner - C:\WINDOWS\System32\adsnwj.exe (file missing)[/CODE]
10.06.2007, 21:45
Nina

Первых двух строчек не было.
10.06.2007, 21:57
Muzzle

Всё правильно,просто вы выложили новые логи раньше, чем я ответил на старые :)
выполните в AVZ,поэтому выполните мой предыдущий пост тоже.
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\SPSS\ProductRegistration.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Пришлите файлы карантина по правилам раздела "Помогите", приложение 3
10.06.2007, 22:14
Макcим

[QUOTE]Ну вот, сразу ругаетесь, вместо того, чтобы помочь бедной растерянной девушке[/QUOTE]Я не ругаюсь, просто не знал как обьяснить более подробно :)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteSvc('Workstation lanmanworkstationlanmanworkstation');
BC_DeleteSvc('Remote Access Connection Manager RasManTermService');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи.
10.06.2007, 22:54
Nina

*тихонечко из-под стола* Может хватит? Машина работает замечательно...

Кстати, вы людей хотя-бы предупреждайте, что WinSockFix ставит ІР-адреса "по умолчанию", а то так и с ума сойти не долго))))

Новые логи:
10.06.2007, 23:01
Макcим

Беру таймаут на совещание с коллегами. Не нравятся мне строки [code]O23 - Service: Workstation lanmanworkstationlanmanworkstation (lanmanworkstationlanmanworkstation) - Unknown owner - C:\WINDOWS\System32\acctresp.exe (file missing)
O23 - Service: Remote Access Connection Manager RasManTermService (RasManTermService) - Unknown owner - C:\WINDOWS\System32\adsnwj.exe (file missing)[/code]Или вы их не фиксите или все не так хорошо :(
10.06.2007, 23:03
Nina

Я их фиксю, только они не удаляются
10.06.2007, 23:08
drongo

Обновиться до SP2 , а лучше формат диска C и поставить дистрибьютив виндоус уже с внедрённым SP2;)Иначе бесполезно люди вам помогали, через некоторое время будет тоже самое ;)
10.06.2007, 23:12
Nina

А что такое СП2?
Формат диска С - это замечательно, у меня даже в близжайших планах стояло... А можно это через неделю сделать? А то у меня диплом горит.
10.06.2007, 23:21
drongo

[quote=Nina;115140]Формат диска С - это замечательно, у меня даже в близжайших планах стояло... А можно это через неделю сделать? А то у меня диплом горит.[/quote]

Подождите недельку, даже интересно сколько его хватит не заражаясь ;)Потом сообщите :)
насчёт удаления сервисов, попробовать можно так :
нажать Пуск-Выполнить , там набрать cmd нажать Enter ,Появиться чёрное окошко!
в окне набрать([U][B]Просто то, что в
следующеей рамке скопировать и вставить в чёрное окно [/B][/U] ) :
[code]
sc delete lanmanworkstationlanmanworkstation
[/code]
нажать Enter
набрать :
[code]sc delete RasManTermService[/code]
нажать Enter
Перегрузиться.

P.S. SP2 : [url]http://www.microsoft.com/rus/windowsxp/sp2/default.mspx[/url]
и после SP2 ещё пару сотен обновлений ;)
10.06.2007, 23:48
Nina

Все так плохо?
10.06.2007, 23:56
drongo

Ну от сервисов вражеских избавились - уже хорошо ;)
Поставьте браузер опера или firefox с ними шанс заражения резко пойдёт вниз.A эксплореру запретить выход в инет в вашем файрволе, у вас есть winroute- довольно мощная штука ;)
11.06.2007, 14:09
Nina

[QUOTE=MaXim;115129]Я не ругаюсь, просто не знал как обьяснить более подробно :)[/QUOTE]

Допишите [URL="http://www.virusinfo.info/showthread.php?t=4491"]здесь[/URL] между вторым и третьим пунктами, что нужно нажать кнопочку "Do a system scan and save a ligfile", мне не хватило этого пункта.

[B]drongo[/B], Опера у меня была, но я ее снесла, т.к. она до такой степени ругалась с ICQ, что переставала запускаться в какой-то момент. Теперь будет попытка №2 :)

А SP2 вместе со всеми остальными сотнями обновлений моей совершенно пиратской винде близжайшее время не светят: мне лучше старая но работающая, чем обновленная но заблокированная производителем оболочка :) Поэтому пока придется обходиться так))

[SIZE="4"]СПАСИБО ВСЕМ ЗА ПОМОЩЬ!!![/SIZE]
11.06.2007, 14:14
Muzzle

Советуем прочитать электронную книгу [URL="http://security-advisory.newmail.ru/"]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".[/URL]

Вы можете нас отблагодарить, [URL="оказав нам помощь в сборе базы безопасных файлов"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 01:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]45[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\cd1041.nls - [B]Trojan-Mailfinder.Win32.Agent.ag[/B] (DrWEB: Trojan.Spambot)[*] c:\\windows\\system32\\drivers\\secdrv.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\ipv6monl.dll - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\ksys.sys - [B]Rootkit.Win32.Agent.eb[/B] (DrWEB: Trojan.NtRootKit.248)[*] c:\\windows\\system32\\rpcc.dll - [B]Trojan-Proxy.Win32.Dlena.ct[/B] (DrWEB: Win32.HLLM.Bid)[*] c:\\windows\\system32\\spoolsvv.exe - [B]Email-Worm.Win32.Zhelatin.et[/B] (DrWEB: Trojan.Packed.140)[*] c:\\windows\\temp\\startdrv.exe - [B]Rootkit.Win32.Agent.ea[/B] (DrWEB: Trojan.NtRootKit.269)[*] c:\\windows\\temp\\startdrv.exe - [B]Virus.Win32.Agent.x[/B] (DrWEB: Trojan.Spambot)[*] \\systemroot\\system32\\drivers\\secdrv.sys - [B]Rootkit.Win32.Agent.ea[/B] (DrWEB: Trojan.NtRootKit.269)[/LIST][/LIST]